Como excluir mensagens bloqueadas na fila ativa / de entrada - postfix

4

Após o ataque de postfix do DoS, temos as filas de entrada e ativa cheias de mensagens:

drwx------.  2 postfix root     1007616 nov  5 17:01 active
drwx------.  2 postfix root        4096 nov  5 11:31 bounce
drwx------.  2 postfix root        4096 feb 20  2014 corrupt
drwx------. 18 postfix root        4096 jun 30  2014 defer
drwx------. 18 postfix root        4096 jun 30  2014 deferred
drwx------.  2 postfix root        4096 sep  8 10:41 flush
drwx------.  2 postfix root        4096 feb 20  2014 hold
drwx------.  2 postfix root     1093632 nov  5 17:01 incoming
drwx-wx---.  2 postfix postdrop    4096 nov  5 17:01 maildrop
drwxr-xr-x.  2 root    root        4096 nov  5 16:49 pid
drwx------.  2 postfix root        4096 nov  5 16:49 private
drwx--x---.  2 postfix postdrop    4096 nov  5 16:49 public
drwx------.  2 postfix root        4096 feb 20  2014 saved
drwx------.  2 postfix root        4096 feb 20  2014 trace

Fila ativa:

[root@revres]# ls -la /var/spool/postfix/active/
total 992
drwx------.  2 postfix root 1007616 nov  5 17:01 .
drwxr-xr-x. 16 root    root    4096 nov  5 09:06 ..

Fila de entrada:

[root@revres]# ls -la /var/spool/postfix/incoming/
total 1076
drwx------.  2 postfix root 1093632 nov  5 17:01 .
drwxr-xr-x. 16 root    root    4096 nov  5 09:06 ..

A execução do comando postsuper -d ALL não exclui nada nem fornece saída.

Existe alguma outra maneira de esvaziar essas caixas?

    
por user1398498 05.11.2015 / 17:35

5 respostas

1

Se o ls -la mostrar apenas os dois "arquivos" . e .. , então está vazio.

Se você disser: "Por que . é tão grande quando está vazio"? Então a resposta é: Isso é comum em sistemas de arquivos ext3 ou ext4. Eles reservam espaço para os inodes presentes no diretório. E mesmo quando todos os arquivos são excluídos (os inodes sumiram), o espaço reservado para gerenciar os inodes ainda está presente. Portanto, nada para se preocupar. (E mesmo se: é apenas um megabyte "grande")

    
por 09.11.2015 / 10:44
3

Tenho certeza de que, após esse ataque, o postfix perdeu consistência. As filas estão, na verdade, nas estruturas de dados da memória, portanto, as mensagens podem estar no disco, mas o postfix pode não estar ciente delas. Eu recomendo que você pare o serviço postfix, execute postsuper -s (que repara e verifica a estrutura dos arquivos) e inicie-o novamente.

    
por 05.11.2015 / 18:17
1

O mesmo problema.

sudo ls -ln / var / spool / postfix / incoming mostra 1472 arquivos.

#sudo ls /var/spool/postfix/incoming/ -ln
total 1472
-rw------- 1 89 89   8192 Feb 14 15:38 0007B120A83
-rw------- 1 89 89      0 Feb 14 16:38 0030E120A9B
-rw------- 1 89 89   4096 Feb 14 18:04 04548120AE7
-rw------- 1 89 89 102400 Feb 14 16:34 069CA120A94
-rw------- 1 89 89      0 Feb 14 17:56 06E53120ADF
-rw------- 1 89 89      0 Feb 14 17:10 08ADF120AB6
-rw------- 1 89 89      0 Feb 14 18:36 09A56120B24
-rw------- 1 89 89      0 Feb 14 18:32 0B0D0120B11
-rw------- 1 89 89  36864 Feb 14 16:43 0BC4D120A9A
-rw------- 1 89 89      0 Feb 14 19:01 0C150120B3E
-rw------- 1 89 89      0 Feb 14 18:30 0CED5120B16

Serviços MailScanner e postfix reiniciados. Também estava recebendo vários erros do servidor do Exchange 2010 para o qual estou filtrando e agindo como um gateway.

 Out: 250 2.1.5 Ok
 In:  DATA
 Out: 354 End data with <CR><LF>.<CR><LF>
 Out: 451 4.3.0 Error: queue file write error
 In:  RSET
 Out: 421 4.3.0 Mail system error

mailq ou postqueue -p mostra uma fila vazia ...

#mailq
Mail queue is empty

Vocêpodeveratéominutoemquebateunaparede.Infelizmente,euestouexecutandoo Projeto EFA no Centos 6.8, então, embora:

#yum info postfix
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
 * EFA: dl4.efa-project.org
 * base: mirror.fusioncloud.co
 * epel: archive.linux.duke.edu
 * extras: mirrors.lga7.us.voxel.net
 * updates: mirrors.evowise.com
Installed Packages
Name        : postfix
Arch        : x86_64
Epoch       : 2
Version     : 3.1.3
Release     : 1.efa.el6
Size        : 14 M
Repo        : installed
From repo   : EFA
Summary     : Postfix Mail Transport Agent
URL         : http://www.postfix.org
License     : IBM
Description : Postfix is a Mail Transport Agent (MTA), supporting LDAP, SMTP AUTH (SASL),
            : TLS built for Email Filter Appliance (EFA)

Não consigo encontrar os scripts postfix-perl compactados para este sistema operacional. Eu tentei falsificar os pacotes do Fedora, mas meu rpm-foo é muito fraco.

... EDITADO ...

Pegando o ID do nome do arquivo e tentando visualizá-lo usando o postcat .

#postcat -vq 0007B120A83
postcat: name_mask: ipv4
postcat: inet_addr_local: configured 2 IPv4 addresses
postcat: fatal: open queue file 0007B120A83: Permission denied
[ssmith@foster-spam ~]$ sudo postcat -vq 0007B120A83
postcat: name_mask: ipv4
postcat: inet_addr_local: configured 2 IPv4 addresses
*** ENVELOPE RECORDS incoming/0007B120A83 ***
message_size:               0               0               0               0               0               0
postcat: fatal: invalid size record:               0               0               0               0               0               0

Pesquisando no maillog:

#sudo grep -i '0007B120A83' /var/log/maillog
Feb 14 15:36:36 foster-spam postfix/smtpd[16368]: 0007B120A83: client=foster-mail.foster2007.local[10.0.2.28]:63650
Feb 14 15:36:36 foster-spam postfix/cleanup[16371]: 0007B120A83: hold: header Received: from mail.fosterfuels.com (foster-mail.foster2007.local [10.0.2.28])??(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))??(No client certificate requested)??by mx.fosterfuels.com  from foster-mail.foster2007.local[10.0.2.28]:63650; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<mail.fosterfuels.com>
Feb 14 15:36:36 foster-spam postfix/cleanup[16371]: 0007B120A83: message-id=<6B24BD0263D83043837040657FCAC53414F05903@foster-mail.FOSTER2007.local>
Feb 14 19:41:51 foster-spam postfix/postsuper[20067]: queue: 0007B120A83
Feb 14 19:41:51 foster-spam postfix/postsuper[20067]: fatal: invalid directory name: 0007B120A83

Eu acho que neste momento eu posso supor que todos esses arquivos são apenas lixo e espero que nenhum email tenha sido comido durante o dilúvio DOS / vírus que causou isso ...

    
por 14.02.2017 / 21:56
1

Verifique / var / spool / postfix / defer e adiado - certifique-se de que estejam em branco antes de (re) iniciar o postfix.

    
por 14.11.2018 / 21:47
1

Um arquivo de diretório é um arquivo especial que SÓ expande e nunca se contrai à medida que se preenche com mais e mais arquivos e diretórios abaixo dele. Eu tenho experimentado esse problema especialmente com arquivos em /tmp com processos com scripts de runaway que criaram milhares de arquivos intermediários.

Se você deseja reduzir o tamanho de um arquivo de diretório, as etapas básicas são as seguintes:

  1. Encerre qualquer processo usando bigdir

  2. mv bigdir bigdir.x

  3. mkdir bigdir

  4. mv bigdir.x/* bigdir ;; mover arquivos existentes para o novo diretório menor

  5. mv bigdir.x/.[a-zA-Z0-9]* bigdir ;; copiar arquivos ocultos, mas não. e.

  6. Altere as permissões, ACLs, rotulagem SEL para corresponder a biddir.x

  7. rmdir bigdir.x ;; bigdir.x deve estar vazio

  8. Você está livre para (re) iniciar qualquer processo usando bigdir

O diretório resultante será muito menor que o original.

    
por 15.11.2018 / 01:26